3
DHCP Snooping + OPNSense DHCP Relay (Netgear)
Hallo,
Ich hab hier ein kleines Netz mit 4 VLans und einem Windows DHCP Server. Eine OPNSense übernimmt das DHCP Relay.
Ich würde jetzt gerne DHCP Snooping an den Switchen Aktiviren:
https://kb.netgear.com/21815/How-do-I-configure-Dynamic-Host-Configurati ...
1. Ich Aktiviere also den DHCP-Snooping-Modus
2. Ich Setze die VLans auf Enable
3. Ich setze den Port auf Trust an dem der DHCP -Server hängt.
Bei 3. die Frage, den Port an dem der DHCP Hängt oder auch der Port des DHCP-Relay, also die OPNsense, oder nur der Port der OPNsense?
Des weiteren haben wir am "Hauptswitch" noch weitere Switche, sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Rate Limit(pps) und Burst Interval(secs) nimmt man das was Netgear im Bild eingestellt hat?
Danke und Grüße
Ich hab hier ein kleines Netz mit 4 VLans und einem Windows DHCP Server. Eine OPNSense übernimmt das DHCP Relay.
Ich würde jetzt gerne DHCP Snooping an den Switchen Aktiviren:
https://kb.netgear.com/21815/How-do-I-configure-Dynamic-Host-Configurati ...
1. Ich Aktiviere also den DHCP-Snooping-Modus
2. Ich Setze die VLans auf Enable
3. Ich setze den Port auf Trust an dem der DHCP -Server hängt.
Bei 3. die Frage, den Port an dem der DHCP Hängt oder auch der Port des DHCP-Relay, also die OPNsense, oder nur der Port der OPNsense?
Des weiteren haben wir am "Hauptswitch" noch weitere Switche, sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Rate Limit(pps) und Burst Interval(secs) nimmt man das was Netgear im Bild eingestellt hat?
Danke und Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 34080710089
Url: https://administrator.de/contentid/34080710089
Printed on: April 28, 2024 at 11:04 o'clock
3 Comments
Latest comment
Bei 3. die Frage, den Port an dem der DHCP Hängt
Ja, einzig nur der Port an dem der DHCP Server hängt. Die Requests werden ja immer geforwardet aber die Replies (Server) werden an untrusted Ports immer geblockt. Man will ja gerade verhindern das "wilde" DHCP Server Chaos ins Netz bringen. 
sehe ich das richtig das ich nur den Uplink Port zum Hauptswitch auf Trust setzen muss?
Ja, das ist auch richtig. Es muss nur an den Uplinks der Access Switches gemacht werden. Ist ja quasi genau das gleiche Szenario wie am Hauptswitch wo der DHCP Serverport auf Trusted gesetzt wird.Aus Sicht des Access Switches kommen ja die DHCP Replies am Uplink Port an und dort muss der Port auf Trusted gesetzt sein damit die Replies inbound passieren dürfen. Ist quasi so als ob der Server am Uplink Port ist. Einfache Logik...
1
Danke,
ich muss mich dann noch mal mit DHCP beschäftigen ;).
https://www.ionos.de/digitalguide/server/konfiguration/dhcp-das-client-s ...
Bedeutet also, ich fasse das mal für mich zusammen :D. Die Clients schicken eine DHCP anfrage ins Netz. Alle DHCP Server hören auf Port 67 zu und geben auch eine Antwort. Der Switch mit DHCP Snooping lässt aber nur die Antwort des "Trusted" ports zu. Damit diese Antwort dann auch bei den anderen ankommt muss jeweils auch hier der Port die Antwort zu lassen... Okay. Sorry, aber macht Sinn :D.
Danke dir.
ich muss mich dann noch mal mit DHCP beschäftigen ;).
https://www.ionos.de/digitalguide/server/konfiguration/dhcp-das-client-s ...
Bedeutet also, ich fasse das mal für mich zusammen :D. Die Clients schicken eine DHCP anfrage ins Netz. Alle DHCP Server hören auf Port 67 zu und geben auch eine Antwort. Der Switch mit DHCP Snooping lässt aber nur die Antwort des "Trusted" ports zu. Damit diese Antwort dann auch bei den anderen ankommt muss jeweils auch hier der Port die Antwort zu lassen... Okay. Sorry, aber macht Sinn :D.
Danke dir.
Alles richtig zusammengefasst! 👍
Guckst du auch hier.
Guckst du auch hier.
